La gran mayoría de las transacciones de Venmo se registran en una API pública accesible para cualquier persona, según la reciente investigación de un defensor de la privacidad.
La razón por la que esto ocurre es porque la configuración predeterminada de la aplicación Venmo está configurada como "Pública" para todos los usuarios.
A menos que los usuarios cambien específicamente este valor, todas las transacciones que realizan a través de la aplicación de envío de dinero de Venmo se registran y se ponen a disposición de cualquiera a través de la API pública de Venmo.
Los datos expuestos a través de esta API incluyen el nombre y el apellido del remitente y del destinatario, los avatares de Venmo, la fecha de la transacción, un comentario sobre la transacción, los tipos de transacción y más.
Hang Do Thi Duc, el defensor de la privacidad que descubrió este problema, dice que usó esta política de privacidad para consultar la API de Venmo y descargar datos de todas las transacciones públicas de 2017 de la compañía -207,984,218, en total.
También creó un sitio web llamado "Público por incumplimiento ", donde enumera algunos casos de pagos Venmo interconectados, creando perfiles para algunos de los clientes de la compañía. Por ejemplo, Duc rastreó transacciones relacionadas con un revendedor de cannabis, un distribuidor de maíz, una familia, parejas aleatorias, pero también la historia de una mujer con 2.033 transacciones de Venmo.
Duc también ha publicado instrucciones visuales sobre cómo los usuarios de Venmo podrían cambiar la privacidad de su perfil de Público a Privado.
La API de Venmo está disponible aquí, mientras que los usuarios también pueden acceder a este enlace para ver la última transacción de Venmo registrada en la API pública.
Problema conocido desde 2016
Venmo es una aplicación de pagos móviles solo para EE. UU. Lanzada en 2009. Braintree compró Venmo en 2012 por $ 26.2 millones, mientras que un año después PayPal compró Braintree por $ 800 millones, y ahora Venmo es una subsidiaria oficial de PayPal.
El trabajo de Duc no es el primero de este tipo, ya que el investigador de seguridad Dan Gorelick advirtió por primera vez sobre este tema en octubre de 2016 y publicó un tutorial sobre cómo alguien podría extraer la API de Venmo para obtener información confidencial.
Fecha actualización el 2021-07-18. Fecha publicación el 2018-07-18. Categoría: paypal Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer